마이크로소프트가 사이버 시그널(Cyber Signals) 3번째 에디션을 16일 공개했다. 본 에디션에서는 매일 발생하는 43조 개의 마이크로소프트 보안 신호와 8500명의 보안 전문가로부터 수집된 보안 동향 및 인사이트를 공유한다. 주요 내용은 정보기술(IT)과 사물인터넷(IoT), 운영 기술(Operational Technology, OT) 시스템의 융합이 주요 인프라에 미치는 광범위한 위협에 대한 소개다.

OT 시스템은 ▲물리적 작업 지원 ▲스패닝(Spanning) ▲수직적 산업(Vertical Industry) 등 산업 공정에만 국한되지 않고, 거의 모든 것을 포함한다. 특정 목적으로 동작하는 ▲HVAC와 공조 제어 ▲엘리베이터와 신호등 등 여러 안전 시스템 또한 OT의 범주에 속한다. 일반적으로 OT 시스템은 물리적 환경을 제어, 조절하는 데 주목적을 뒀으나 최근 네트워크 같은 IT와의 결합이 증대됨에 따라 새로운 보안 문제로 부상하고 있다.

OT의 활용이 늘어남에 따라 조직과 개인은 사이버 위험의 영향과 결과를 고려할 필요성이 생겼다. 예를 들어, 자택 Wi-Fi 정보가 저장된 노트북이나 차량이 도난당하면 절도범에게 무단 네트워크 접근을 허용하게 된다. 이 같은 문제가 OT 시스템상에서 발생할 가능성을 예측해야 한다. 제조시설의 원격 연결 장비나 스마트 빌딩의 보안 카메라 등에 멀웨어 또는 산업 스파이의 공격 요소를 제공하기 때문이다.

또한, 시장조사기관 IDC는 2025년까지 전 세계 기업과 소비자 환경 전반에 걸쳐 410억 개 이상의 IoT 디바이스 수요를 예상했다. 이를 통해 카메라·스마트 스피커·잠금장치·상업용 가전제품과 같은 디바이스가 공격자들의 새로운 공격 진입 지점으로 지적되고 있다.

IoT 디바이스 활용을 통해 작업 공간과 데이터 용이성을 추구할 수 있지만, 중요 인프라 네트워크가 적절히 구성돼야 한다. 인증되지 않은 경우의 위험이 증가하는 까닭이다. 운영 자산 및 네트워크에 대한 액세스가 허용되면, 공격자에게 대규모 공격을 위한 게이트웨이를 제공할 가능성이 있다.

현재 인터넷에서는 100만 개가 넘는 디바이스 간의 연결이 확인된다. 더 이상 지원이나 패치가 이뤄지지 않는 오래된 소프트웨어를 실행하는 제품들이다. 또한, IoT 디바이스와 소프트웨어 개발 키트에서 여전히 사용되고 있다. 잠재적 보안 위협 요소가 도사리는 상황이다.

실제 마이크로소프트가 2022년 여러 국가의 위협 데이터를 분석한 결과에 따르면, 한국을 포함한 20개국이 IoT 멀웨어 감염 진원지로 나타났다. 이는 외부로 중요 정보가 유출될 수 있음을 보여준다. 분석 결과는 중국이 38%로 1위를 차지, 미국이 19%, 인도 10%로 그 뒤를 이었다. 한국은 7%의 비중을 보였지만, 전체 20개국 중 4번째로 큰 수치다.

또한, 마이크로소프트는 데이터 분석을 통해 자사 고객 OT 네트워크의 가장 일반적인 산업용 컨트롤러 75%에서 패치 적용이 되지 않은 높은 수준의 취약점을 확인했다. 이는 다운타임에 민감한 환경에서도 제어 시스템에 패치를 적용하는 것이 어려움을 보여준다.

이러한 상황에서 마이크로소프트는 기업과 개인이 제로 트러스트 보안 모델로 IoT 솔루션 안정성을 추구하기 위해서 비(非)IoT에 대한 구체적 요구사항을 확인하는 것부터 시작해야 한다고 설명했다. 이는 아이덴티티와 디바이스를 보호하고 접근을 제한하기 위한 필수 사항을 구현 명세를 구체적으로 확인함으로써 달성할 수 있다. 요구사항에는 ▲명확한 사용자 신분 확인 ▲네트워크 내 디바이스에 대한 가시성 확보 ▲실시간 위험 탐지 등이 포함된다.

바수 자칼(Vasu Jakkal) 마이크로소프트 보안 부문 기업 부사장은 “에너지, 운송 등 산업 전반의 주요 인프라를 뒷받침하는 OT 시스템이 IT 시스템에 점점 더 많이 연결되고 이전에는 분리돼 있던 시스템의 경계가 모호해지면서, 운영 중단 및 피해 위험도 커진다”라며 “산업 전반에 걸친 비즈니스 및 인프라 운영자의 경우 방어의 원칙은 상호 연결된 시스템에 대한 전체적인 가시성을 확보하는 것과 진화하는 위험과 종속성에 대해 집중하는 것”이라고 말했다.